Thought Leadership
Das Deutschlandticket offenbart laut IT-Sicherheitsforschern massive Schwachstellen. Der finanzielle Schaden sei immens. Die Verkehrsunternehmen schieben sich derweil gegenseitig die Verantwortung zu.
Die Sicherheitsexperten Q Misell und maya haben nach monatelanger Recherche erhebliche Sicherheitsmängel beim Deutschlandticket identifiziert, wie sie in einem Interview mit der taz erzählen. Ihre Analyse deutet auf betrügerische Aktivitäten hin, die einen Schaden in dreistelliger Millionenhöhe verursacht haben könnten.
Drei Millionen gefälschte Tickets identifiziert
Die Forscher konnten rund drei Millionen betrügerische Tickets nachweisen. Durch einen Abgleich von Umfragedaten zur Nutzung des Deutschlandtickets mit den offiziellen Verkaufszahlen der Verkehrsunternehmen extrapolierten sie das Gesamtausmaß des mutmaßlichen Betrugs. Die Differenz zwischen selbstberichteter Nutzung und tatsächlich verkauften Tickets ließ auf ein erhebliches Dunkelfeld schließen.
Schwachstelle im Zahlungsverfahren
Als Haupteinfallstor für Betrüger identifizierten die Experten das in Deutschland übliche Direktüberweisungsverfahren. Dieses verfügt über keine unmittelbare Verifikation. Betrüger können täuschend echt aussehende, aber nicht existierende Bankkonten generieren und damit Tickets erwerben.
Das Problem: Viele Verkehrsunternehmen stellen das Deutschlandticket sofort nach Vertragsabschluss aus, obwohl die Banküberweisung bis zu sechs Tage zur Verarbeitung benötigt. Erst dann wird festgestellt, ob das angegebene Konto existiert und gedeckt ist. Zu diesem Zeitpunkt sind die Tickets jedoch längst ausgestellt und werden von den Betrügern weiterverkauft.
Kompromittierte Kryptoschlüssel
Neben den Verfahrensmängeln entdeckten die Forscher auch technische Sicherheitslücken. Die Deutschlandtickets werden mit Barcodes versehen und mittels asymmetrischer Kryptografie digital signiert. Die Sicherheitsstandards für die privaten Schlüssel seien jedoch “sehr lax”, kritisiert Misell.
In mindestens einem Fall verlor ein kleines Busunternehmen aus Sachsen-Anhalt die Kontrolle über seinen privaten Schlüssel. Die Forscher vermuten, dass dem Unternehmen aufgrund seiner Größe die nötige Expertise im Bereich Datensicherheit fehlt. Der gestohlene Schlüssel ermöglichte es Angreifern, im Namen des Unternehmens gültige Tickets auszustellen.
Unklare Haftungsfragen
Das betroffene Unternehmen wurde durch den Verlust seines Schlüssels nicht direkt geschädigt. Denn es existieren bislang keine Regeln in der Deutschlandticket-Vereinbarung, die Unternehmen für durch sie ausgestellte betrügerische Tickets haftbar machen würden. Den finanziellen Schaden tragen stattdessen alle Verkehrsunternehmen, die diese Tickets akzeptierten, ohne dass eine Kompensation aus dem gemeinsamen Topf erfolgt.
Verbesserungen in Arbeit – aber schleppend
Der Deutschlandtarifverbund arbeitet an höheren Sicherheitsstandards, sagen die Forscher. Geplant seien formalisierte Verfahren zum Schutz der Kryptoschlüssel sowie ein System, mit dem betrügerische Tickets nachträglich entwertet werden können. Zudem soll die Signierung der Tickets zentralisiert werden, da der Tarifverbund über mehr Sicherheits-Know-how verfügt als einzelne Verkehrsunternehmen.
Allerdings nutzen bisher nur zwei Unternehmen das entsprechende Sicherheitsportal des Verbundes. Bei den Zahlungsverfahren seien kaum Fortschritte zu verzeichnen, kritisiert Misell. Diese lägen weiterhin in der Verantwortung der einzelnen Unternehmen.
Verantwortung wird hin- und hergeschoben
Die Forscher arbeiten seit Oktober 2024 an der Problematik und stoßen auf ein Dilemma der Verantwortlichkeiten. Misell beschreibt ein Muster gegenseitiger Schuldzuweisungen: Die Politik verweise auf die Verkehrsunternehmen, diese argumentierten, sie würden nur Vorgaben umsetzen, und der Tarifverbund erkläre, er habe nicht die Macht zur Regulierung. “Alle zeigen mit dem Finger aufeinander”, resümiert die Sicherheitsforscher.
Für die Zukunft des Deutschlandtickets bedeutet dies: Ohne klare Regelungen zu Haftung und Sicherheitsstandards sowie verbindliche technische Mindestanforderungen bleibt das System anfällig für systematischen Betrug.
